Le Cyber mois : un rapport du Sénat pointe sur les faiblesses structurelles et humaines de l’utilisation de l’outil numérique au sein de l’institution

Octobre était le mois européen de la cybersécurité, une démarche européenne soutenue par l’ENISA, l’agence européenne chargée de la sécurité des réseaux et de l’information. Ce mois fût l’occasion d’organiser des campagnes de sensibilisation afin de prendre conscience des enjeux de la sécurité numérique. La parution d’un rapport sénatorial démontrant la persistance d’importantes failles de sécurité numériques au sein de l’Assemblée Nationale et du Sénat rappelle l’importance critique de ce sujet pour les pouvoirs publics.

Malgré la publication le 1er octobre 2019 du rapport sur le devoir de souveraineté numérique portant notamment sur la protection des données, de nombreuses vulnérabilités persistent au sein du Sénat. C’est ce que tend à démontrer le rapport publié le 24 octobre 2019 sur la sécurité informatique des pouvoirs publics. Dirigé par Jérôme Bascher, sénateur Les Républicains (LR), ce rapport identifie des faiblesses portant notamment sur :

  1. Le matériel informatique
  2. La sensibilisation des sénateurs 

Sur le plan matériel, deux éléments sont pointés du doigt par le sénateur. D’une part, la trop grande dépendance des institutions aux grands groupes américains du numérique (GAFAM). Héberger toutes les applications sur Google, Apple, Facebook ou Microsoft s’avère être problématique quant à l’accès et la protection des informations. En faisant référence aux révélations d’Edward Snowden à propos des « backdoor », cette utilisation massive des outils américains est un levier stratégique pour certaines institutions, notamment américaines. Elles se voient en effet, « héberger » toutes les informations sensibles et confidentielles des parlementaires et des sénateurs. Dans cette situation, la vulnérabilité des données est réelle et beaucoup plus importante suite au Cloud Act voté aux États-Unis en 2018, qui concède le droit au gouvernement américain d’avoir accès aux données des organisations américaines. Par ailleurs, en termes de lobbying, cette dépendance aux GAFAM constitue un point de pression. Effectivement, le piratage de certaines applications par certains groupes aura pour seul objectif de menacer et de faire pression sur les sénateurs et parlementaires. 

D’autre part, chaque sénateur choisi son propre matériel de travail, sans contrôle préalable ni recommandation particulière. Cela représente une difficulté en termes de maintenance pour protéger les équipements ou pour évaluer les défauts de sécurité de chaque appareil.

Sur le plan de la sensibilisation, même si les systèmes sont relativement bien protégés grâce à l’action de l’ANSSI, il faut retenir que les protections numériques ne sont pas infaillibles. De là, la responsabilité de chaque sénateur entre en jeu. En effet, des précautions sont à prendre pour éviter une attaque numérique. Malheureusement, il a été constaté que la sensibilisation des sénateurs à la sécurité informatique est extrêmement faible, ce qui a pour conséquence un manque d’hygiène numérique.

Enfin, le rapport du sénateur LR vise avant tout à souligner la difficulté de travailler facilement et de manière sécurisée sans que cela ne représente un coût exorbitant pour le traitement et le stockage des données. Bien que les risques liés à une mauvaise sécurité numérique soient clairement évoqués et identifiés, s’en prémunir demeure ardu. Cela tient tant aux différentes mesures organisationnelles et techniques à mettre en œuvre qu’à l’adoption effective de ces mesures au sein des institutions nationales.

Emeline Strentz